Avira小红伞防火墙设置规则.doc

小红伞防火墙设置规则一.前言：伞墙主要是为了用户的方便，简化了设置过程，所以看起来比较“傻瓜”。其实它在易用性和安全性结合得相当好，设计者的确是花了不少心思的。这篇教程是基本上涵盖了伞墙的所有方面，应该算比较全面了，后面附有我这几天玩伞墙的一点设置心得。二.托盘选项右击桌面右下脚托盘图标，在“Firewall”有以下三个选项：图11.Firewall enable（打开防火墙）：打勾表示当前防火墙正在工作，没打勾表示没在工作。用户可以根据需要在这里切换。2.Block All Traffic（阻止所有流量）：选中表示所有的进出数据都将被拦截。（前提是必须选中firewall enable）3.Game mode enable（打开游戏模式）：选中时，所有已设规则仍然有效。但是当有新的程序需要联网时，防火墙会自动允许，不会提示用户。目的是使用户在玩游戏时不被打扰。但这个模式会给木马等恶意程序以可趁之机，建议不要轻易使用。三.伞墙主界面1.安全级别说明：“高”：计算机在网络中隐身；外来的主动连接将被阻止；防止洪水攻击和黑客的端口扫描。“中”：可疑的TCP、UDP数据包将被丢弃；防止洪水攻击和黑客的端口扫描。“低”洪水攻击和黑客的端口扫描将被检测到（注意，不是防止）。（另外，所有进出计算机的数据都被放行。）图22双击“网络活动查看区”的某个程序，可以看到：图3四.日志界面：图4双击某一条日志：图5五.伞墙设置界面：来到configuration(设置)，我们可以看到，与防火墙相关的有四个设置模块：图6六.适配器规则（设置伞墙最难的地方，也是它精华所在）：伞墙支持为每个网卡分别制定规则，方便了通过多种方式上网的用户：图7伞墙的网络规则分为三类：全局规则：没有出入站之分，且优先级比较高的规则。入站规则：检测进入本机的数据包的规则。出站规则：检测从本机发出的数据包的规则。PS：rule up（上移）、rule down（下移），用于上下移动选中的规则。图81.全局规则的制作：图9单击“Add rule”（增加规则）。伞墙提供了许多规则的设置模板。其中打红圈的就是全局规则的模板。我们只要在模板中稍作修改就可以生成自己的规则。注意：新增的规则默认都放在某一类规则的最下方。利用“rule up/down”把规则移到适合的位置。1）Allow peer to peer network (允许P2P 软件监听端口，如BT、电驴等)：图102）Allow VMWARE connection (允许虚拟机连接网络)虚拟机连网需要此规则。（此模板不需要设置，图略）3）Block IP (禁止IP):此模板可用于禁止本机与某一远程计算机的通讯。图114）Block Subnet (禁止子网或某范围的IP地址)图12用掩码可以表示一个范围的IP地址。如上图IP=，掩码=240.0.0就表示到55。Allow IP（允许IP）与Allow subnet（允许子网或某范围的IP地址）原理同以上两条，略。5）Allow web sever (允许在本机开启web网站服务)这是指定某一端口作为WEB服务器端口。这是为服务器设计的功能，普通用户用不到。6）Allow VPN connection（允许VPN网络连接）图137）Allow Remote Desktop connection （允许远程桌面连接）图143389是远程桌面的服务端口，一般不用改了。8）Allow VNC connection（允许VNC网络连接）VNC好像是用于远程控制计算机的软件。没用过，不是很清楚。9）Allow File and Printer Sharing （允许文件与打印机共享）在局网内需要相互共享资源的需要开启。这条规则也不用自己设置，原理应该是开放本机的137-139端口。2.出入站规则的制作以下打红方格的就是出入站规则的模板：图151）IP（IP地址规则）以outgoing rules（出站规则）为例：图16注意：在出入站规则中没有禁止/允许单个IP地址的规则模板。所以，如果要禁止单个IP，请在address后面填入这个IP，然后在mask(掩码)后面填入55。（如果保持默认的，就表示一个IP段了）。2）ICMP（ICMP协议规则）：图17高级功能是对数据包的内容进行过滤，这也是伞墙的一大亮点。这对于过滤含有恶意代码的数据包（如病毒木马等），很有帮助。这里的“数据包内容”是指数据包的实际内容，也就是说它的偏移量应该从有效负载（payload）的第0字节算起。而不是从IP、TCP包头算起。单击”empty”可以载入包含这些字节的文件（关于是什么文件，官方只回答说是一个二进制的特殊文件。所以目前还不清楚此项功能的用法。希望知情者补充！）注意：这里的ICMP规则要和“全局规则”中预设的“ICMP protocol”一起用（后面会讲到）。3）UDP （UDP协议规则）：图18这里，端口填写支持单个端口，也支持一段端口（如1024-5000），还支持多个不连续的端口（如53,80,1024-5000,6666），相互之前通过半角逗号“,”隔开。注意：如果你想填全部端口，请填入0-65535，不要保持默认的”none”（无效，不代表任何端口）。4）TCP（TCP协议规则）图19单击”all packets”可以切换到“新建立和已建立的TCP连接数据包”、“已建立的TCP连接数据包”。具体差别和用法下面会说到。5）IP protocol (IP协议规则)图20点击0-HOPOPT-Ipv6 HOP-by-HOP Option，会出来一个表，这里有许多种IP协议：图21这里的大多数协议一般用户都不会用到，常用的可能只有Type2, IGMP。怎样设定网络规则请看“附录一”七应用程序规则：应用程序规则控制着每个联网程序的网络动，与网络规则一样重要。1主界面：图22如果要得到更详细的设置，请在“popup settings”中点击“define one action for each(为程序的每类每络活动分别设定动作，原来是“define one action for all”为程序的全部网络活动一次性设定动作)：图23为了提高安全性，请打开这个功能。下面为一些常用的联网程序简单地谈一下设置方法：“代码录入”是一个类似HIPS的功能，对HIPS没什么研究，所以下面不作涉及，只谈防火墙功能。装有专业HIPS软件的朋友这里可以全选“允许”，全部交给专业HIPS来控制。杀软：可以全部允许。网页浏览器：只允许TCP连接，其它都可以禁止QQ：全部允许。P2P类软件（迅雷、BT、Emule等）：全部允许。Globarlink（联众游戏）：只允许TCP连接。PPLive：全部允许。Svchost：除了listen，其它都允许。Explorer: 除了TCP connection，其它都可禁止。Userinit: 除了TCP connection，其它都可禁止。Winlogon: 除了TCP connection，其它都可禁止。2新增应用程序规则：图24这张表列出了你正在使用的所有软件。单击想要设置的程序，按下添加就可以了。如果你想要的程序不在这个列表中，请按“浏览”自己搜索。八.系统设置（Settings）图25Automatic rule timeout（规则自动过期）：这项功能是针对预设网络规则中的“Port scan”规则来说的。当伞墙检测到某个IP正在对本机进行端口扫描时，它会自动生成一个规则来禁止这个IP。如果选”block forever”，那么这条规则将永远被保留，也就是永远禁止那个IP。如果选Remove rule after xx seconds，那么这个规则到时候会自动被移除，这个IP将被恢复。想安全一点的话，就选block。Windows Host file is not locked/locked（系统主机文件锁定）：这个功能是对主机文件（一个文本文件，内含T C P / I P主机名与它的I P地址的信息）进行写保护。防止病毒和恶软的修改，防止本机在病毒的控制下访问一些非法的网站。建议lock。Automatic allow applications created by known vendors(自动允许受信任公司出品的软件联网）：红伞已把以下公司列入信任名单：Microsoft，Mozilla，Opera，Yahoo，Google，Hewlett Packard，Sun，Skype，Adobe，Lexmark，Creative Labs，ATI，nVidia。想安全一点的话就不要选，不信任何程序。因为即使是信任的软件，万一被木马控制，也会危害到安全的。九Popup settings（对话框设置）图26Inspect process launch stack：检测一个程序通过子进程访问网络。建议勾选。但装了专业HIPS软件的用户不要勾。Allow multiple popups per process：按照帮助文件的说法，选中这个后，软件试图建立每一个网络连接都会弹出对话框。反之，只对第一个网络连接进行提示，后面的全部按用户为第一个连接所设定的处理。但我试验了一下，似乎选不选没有什么分别。Remember action for this application:这是针对下图打圈部分的设置：图27Show details：这是针对上图打框的部分的设置。这块内容不太重要，所以不详细讲了。十.对话框解释图28附录一：伞墙网络规则设置经验：1网络规则设置的总指导原则：曾在国外防火墙论坛上看到一位高手对此所作的精辟论断：“Allow what you really need, and block anything else允许你真正需要的，阻止其它一切。”这就是防火墙规则制作的总原则（适用于一切防火墙）。因为用这个思路做出来的规则是最安全的。2制作规则的原理：像一般防火墙一样，伞墙的规则也是从上到下来对数据包进行匹配的。这一点一定要记住！按第1点所说的原则，在规则最后添加一条“阻止一切的规则”是必须的（参照伞墙high level预设规则中icoming rules的最后一条）。然后在这一条规则的上方编写一系列的允许规则。但这并不是说一套规则只有最后一条是阻止规则，其它的都是允许规则。大多数情况下还是阻止与允许规则交替编写的。出现在最后一条上方的阻止规则可分成两类：第1类是单纯是为了生成日志，以方便查找攻击源。如我不想让别人来ping我，这种情况并不需要编写拦截ping的规则，因为只要上面没有允许接收ping的规则，最后一条就会把它拦截的。但是如果我想知道谁在ping，就可以制作这样一条规则：“拦截type=8,code=0的ICMP数据包进入本机，并记入日志”。这样我们到日志查看关于这条规则的记录，看一下源地址就知道是谁在ping我了。第2类是必须制作的，关系到安全与否的规则。例如有一条规则开放了本机1024-5000端口同外界进行通讯。但在这个范围内的1900和3389是高危端口，要制作一条规则把它们关闭了，并放在原来那条规则的上方。这样从 1900或3389进入的数据首先会被拦下，确保了下面那条规则的安全。3具体操作：伞墙的默认规则，严格来说，即使是最高级别也并不安全，主要是因为把本地的所有端口向所有网络地址开放。而且每个人的网络状况不一样，最好是用自己设置的规则。自己制作规则时，建议在high level的默认规则下进行修改。因为这里面有些规则和思路是很不错的。1）先来讲讲默认的全局规则：ICMP protocol（ICMP协议规则）、TCP port scan（防止TCP端口扫描）、UDP port scan（防止UDP端口扫描）这三条建议不要改动，以免破坏防火墙的隐身性能。如ICMP规则已经设置得很好了，出站只允许了ping请求，入站只允许了ping应答、目标不可达和超时，已经很安全，且能适应大多数用户的需要。2）然后incoming规则中的“Do not discard ICMP based on IP address”也必须保留，因为全局中的ICMP规则中只有阻止，没有允许，如果这条允许规则没了，所有的ICMP都将被最后一条“Deny all IP packets”拦截。3）最好在outgoing规则的最后一条也写一条Deny all IP packets，所有未经允许的数据包都不能发出。另外，最后拦截规则建议不要记入日志，除非规则还在调试阶段。因为有大量数据被这条规则拦下来。如果记入日志会占用很多的CPU。4）有一点要注意：伞墙的规则是双向的，也就是说如果你在出站规则中写了一条TCP本地1024-5000远程1024-65535，那么在入站规则中必须写一条对等的规则：TCP本地1024-5000远程1024-65535。5）TCP规则中有一个特别重要的地方请注意：apply for all packets 、apply for packets of existing connections、Apply for connection initiation and existing connection packets理论上来说是有区别的。比如，伞墙的“高安全”级别能使计算机隐身，它的原理就在于预设的TCP规则（只允许packets of existing connections）只允许已建立的连接的数据入站，即对任何主动连接都不响应。而“中安全”级别用的是Apply for connection initiation and existing connection packets，即允许建立新的连接，这样它就不提供隐身功能了。至于Apply for connection initiation and existing connection packets与all packets的区别目前还不太清楚，测试了一下也没有多大的分别，官方也没有说明和答复。我们虽不太清楚详细的区别，但有些技巧还是可以和大家分享的：上面已说过，防火墙规则编写原则是“严格禁止，谨慎开放”。凡是阻止规则，TCP的可选apply for all packets，UDP的可选all ports。而允许规则，TCP的入站可选apply for packets of existing connections（应用程序的监听端口一定要另外编写允许规则，选Apply for connection initiation and existing connection packets，放在上述规则的上方。或直接在全局规则中设置。否则别人无法主动连接到本机。）出站可选Apply for connection initiation and existing connection packets；UDP的出入站都可选opened ports（同样监听端口规则要选all ports）。由于水平有限，只能谈这么多。这里推荐本论坛菜悠悠版主的一篇文章，对防火墙设置问题谈得很详细，相信会给大家带来很大的帮助：/thread-1629-1-2.html附录二：个人对伞墙的评价：伞墙主要的优点：1提供了计算